2.1 milyon dolarlık Bitcoin (BTC) işlemi için 3 milyon dolarlık rekor işlem ücreti ödeyen kişi olduğunu öne süren bir Bitcoin kullanıcısı dikkat çeken bir çıkış yaptı. Kullanıcı bir hack saldırısının kurbanı olduğunu ileri sürdü. Kullanıcı geçen hafta Bitcoin ağında ödenen 83.65 BTC’lik (3.1 milyon dolar) rekor işlem ücretiyle bağlantılı olarak bir hacker’ın kendisinden 139 BTC çaldığını iddia etti. Aynı kullanıcı iddiasını ispatlamak amacıyla işlemi gerçekleştiren anahtara sahip olduğunu gösteren bir mesaj imzaladı.
“3.1 Milyon Dolarlık İşlem Ücreti Ödemesini Ben Yaptım”
Geçtiğimiz hafta Perşembe günü bir Bitcoin kullanıcısının yanlışlıkla 3.1 milyon doların üzerinde 83.65 BTC’lik bir işlem ücreti ödediği ortaya çıkmıştı. Tek bir Bitcoin işlemi için ABD doları cinsinden ödenen işlem ücreti konusunda rekoru getiren bu işlem, Eylül ayında ödenen 500 bin dolarlık bir önceki rekor işlem ücretinden altı kat daha yüksek. Cuma günü işlemi gerçekleştiren kişi olduğunu ve bir hack saldırısının kurban olduğunu açıklayan bir kişi, ödenen ücret miktarına benzer bir şekilde “@83_5BTC” adında yeni bir X (eski adıyla Twitter) hesabı oluşturdu.
Kullanıcı yaşananları açıklamak üzere X hesabından yaptığı paylaşımda “Yeni bir soğuk cüzdan adresi oluşturdum, 139 BTC aktardım ve söz konusu BTC’ler hemen başka bir cüzdan adresine aktarıldı. Sadece birinin o cüzdan adresinden bir komut dosyası çalıştırdığını ve komut dosyasının garip bir işlem ücreti hesaplaması olduğunu düşünüyorum.” dedi.
Söz konusu işlemde 55.77 BTC (2.1 milyon dolar) transfer etmek için 83.65 BTC’lik işlem ücreti ödendi. İşlem öncesi cüzdan adresinin bakiyesi 139.42 BTC (5.2 milyon dolar) idi. Kullanıcı mesajında “55 BTC sonsuza dek gitti. 83.5 BTC için ise karar verilecek” eklemesini yaptı. Kullanıcı söz konusu Bitcoin cüzdan adresinden “@83_5BTC yüksek işlem ücretinin ödendiği cüzdan adresinin sahibidir” şeklinde bir mesaj imzaladı. İmza, Bitcoin Explorer Mempool’un arkasındaki anonim isimli geliştirici Mononaut tarafından doğrulandı. Mononaut bugün yaptığı açıklamada, “İmza kontrol edildi, @83_5BTC görünüşe göre 83.7 BTC’lik işlem ücretini ödeyen anahtarın sahibi” dedi. Casa’nın kurucu ortağı ve CTO’su Jameson Lopp da imzayı doğruladı.
Ancak Mononaut, cüzdan adresinin ele geçirilmiş olması halinde mesajın bir hacker tarafından imzalanmış olabileceğini ekledi. Blockchain kaşifi Blockchair‘a göre işlem AntPool tarafından 818.087 numaralı blokta çıkarıldı. Eylül ayında ödenen bir önceki rekor 500 bin dolarlık ücret, daha sonra kripto hizmetleri sağlayıcısı Paxos tarafından yanlışlıkla yapılan yüksek ödeme olarak tanımlanmış ve F2Pool, bu ücreti Paxos’a geri ödemeyi kabul etti. AntPool’un benzer bir anlaşma yapıp yapmayacağı henüz bilinmiyor ancak bu yönde bir karar alınacak olursa Bitcoin madencilik havuzunun kurbanın kimliğinin doğrulanması için başka bir yola ihtiyaç olunacak. Topluluk üyesi “niftydev” @83_5BTC hesabının arkasındaki kişiyi tanıdığını söyledi ve saldırgan değil sahibi olduğunu iddia etti. AntPool henüz işlem hakkında kamuya açık bir yorumda bulunmadı ve The Block’un yorum talebine yanıt vermedi.
Cüzdan Adresi Yetersiz Rastgelelikle Oluşturulmuş Olabilir
Mononaut’a göre 3.1 milyon dolarlık rekor işlem ücreti ödenmesinin en olası nedeni yetersiz rastgelelikle oluşturulmuş bir cüzdan adresi olmasıydı ve bu da onu hack saldırısına karşı açık hale getiriyordu. Dahası ona göre işlem, göndericinin onaylanmamış bir işlemin işlem ücretini artırarak ağ tarafından daha hızlı işlenmesini sağlayan bir Bitcoin protokol özelliği olan replace-by-fee (RBF) kullanılarak hızlı bir şekilde ücretlendirildi.
Geliştirici, yetersiz rastgelelikle oluşturulmuş bir cüzdan adresi söz konusuysa, birden fazla hacker’ın cüzdandaki fonları çalmak için rekabet ediyor olabileceğini ve rakipleri engellemek için işlemin önemli bir kısmını harcayacak şekilde yapılandırılmış komut dosyalarıyla yüksek işlem ücreti ödemesinin durumu açıkladığını öne sürdü.
Mononaut daha sonra, ödenen işlem ücretinin çalınan toplam 139.42 BTC’nin tam yüzde 60’ı olduğunu ve potansiyel saldırganın aynı adresten 0.0006 BTC ücret ödeyerek 0.001 BTC’yi de süpürdüğünü belirtti. Geliştirici, “Bu, hırsızlığın hızıyla birleştiğinde, savunmasız cüzdan adreslerine gönderilen BTC’leri çalmak için değerin sabit yüzde 60’ını ücret olarak ödemeye ayarlanmış otomatik bir komut dosyası için makul bir kanıt gibi görünüyor” dedi ve yüzde 60’lık ücretin, farklı bir hacker’dan veya aynı stratejinin bir parçası olabilecek işlemin tam yüzde 51’i değerinde bir başlangıç ücretinin yerini aldığını ekledi.
Mononaut, “Bu, yetersiz rastgelelikle oluşturulan cüzdan adresleri ile kestirme yollara başvurmamanız ve ideal olarak çok büyük meblağlar için multisig (çoklu imzalı) cüzdan adreslerini kullanmanız için önemli bir hatırlatma olsun” diye ekledi.
İşlem ücretinin iade edilmesi için yalan söylüyor.